최근에 애플이 미국 샌버나디노 지역 총기살해범의 아이폰에 대한 FBI의 협조 요청을 거절했다. 보통 영장은 범죄 발생 및 연관의 개연성이 있으면 발부되는데 이 사건은 이미 흉악한 범죄를 저지른 사람이고 IS와의 연관성도 밝혀져 이 아이폰에는 앞으로의 미국 내 테러 시도를 막을 수 있는 정보 다수가 있을 개연성이 높다. 법원은 이에 따라 당연히 협조 명령을 내렸지만 애플은 거부하고 있다. 애플에 아이폰 정보를 빼달라는 것도 아니고 FBI가 합법적인 암호 풀기 시도를 할 수 있게 도와달라는 정도의 협조 명령인데도 애플은 이를 거부하고 있는 것이지만 소송에나 가야 해결될 판국이다. 미국은 9·11을 거치며 테러방지법에 해당하는 애국자법(PATRIOT)을 통과시켰음에도 인권과 테러방지의 균형을 제도적으로 유지하고 있는 것이다.
테러방지법 통과를 주장하는 사람들의 가장 중요한 논거는 다른 나라들도 테러방지법을 가지고 있다는 것이다. 하지만 우리나라에서 여당이 통과시키려고 하는 테러방지법은 외국의 그것과는 확연히 다르다. 우리나라 테러방지법의 문제는, 첫째 대외 정보 수사기관인 국정원에 대테러수사권한을 준다는 것이고, 둘째 대테러수사에 대한 인권보호 규제들을 위험한 수준으로 완화한다는 것이다.
국정원에 대테러수사권한을 준다는 것은 국정원 산하에 ‘테러통합대응센터’를 신설하고 이 센터가 국내 정보 수집활동을 할 수 있게 한다는 것이다. ‘테러’는 정의상 외국인이 아니라 국내인도 항상 저지를 수 있기 때문이다. 국정원이 국내 활동을 하지 못하도록 하는 가장 큰 이유는 국정원이 원활하게 국가안보를 지키는 대외활동을 할 수 있도록 비밀성과 예산을 보장해주었는데 그 비밀성과 예산이 국민을 상대로 남용해서는 안되기 때문이다. 미국의 CIA도 대외정보 수집만을 하도록 돼있고 애국자법이 이 측면에서 달라진 것은 없다.(부시정부가 임의로 달라졌다고 해석했다가 2015년 위헌판정을 받았다.) 샌버나디노 수사도 예산과 통제가 불투명한 CIA가 아닌 국내 수사기관인 FBI가 진행하고 있다.
또 애국자법이 프리즘프로그램 등을 만들어내긴 했지만 이 역시 영장주의 절차를 거친 것으로서 인권보호 절차들이 쉽사리 무효화되지는 않는다. 심지어 위헌판정을 받은 무작위통신사실확인자료 취득도 형식적으로 외국첩보법원의 승인을 받은 것이었다. 우리나라 테러방지법은 “테러통합대응센터의 장은…긴급을 요할 때에는 전화 또는 전산망을 통해 약식으로 설명하고 서면으로 통보”함으로써 통신비밀보호법상의 절차 등을 밟아 정보수집 및 조사를 하도록 하고 있다. 그 뜻은 불분명하지만 현행 통비법의 절차가 엄연히 있는데 테러방지법에서 다시 ‘긴급하면 전화로 설명하여’ 처리할 수 있다고 정한 이유에 대해 의구심을 가지지 않을 수 없다.
특히 테러방지법에 끼워서 여당이 통과시키려는 감청설비의무화법은 모든 ‘전기통신사업자’에게 감청설비를 의무화하는 내용을 담고 있다. 카카오톡이나 네이버와 같은 인터넷 업체들에도 모두 적용한다는 것인데 세계에서 유일한 법률이 될 것이다. 외국에서 감청설비의무는 도로 위 아래의 전봇대 터널 등의 국가기간시설을 직접 이용하고 있는 망사업자들에 반대급부로 부과될 뿐이다. 다양한 통신 SW를 개발해 그 망을 이용하는 인터넷 업체들에는 그런 의무를 부과할 헌법적 정당성이 없기 때문이다. 이것은 마치 학교, 교회, 동창회 등에 홈피를 운영한다고 해서 국가감청요원이 될 의무를 부과할 수 없는 것과 마찬가지다. 또 인터넷 업체들에 감청설비의무란 이용자가 안심할 수 있는 암호화 통신을 무력화한다는 것과 동일한 의미다. 결국 수사기관에 복호화키를 주거나 사업자들이 복호화해서 내용을 넘겨주는 수밖에 없는데 사업자들이 이용자들의 통신내용을 들여다봐야 하는 후자의 선택을 하지는 않을 것이기 때문이다. 바로 지금 애플과 미국 정부가 벌이고 있는 공방 자체가 나올 수 없게 돼있다.
1. 국정원의 해킹사찰 의혹 사건에 대한 국회차원의 조사와 검증이 위기에 처했다. 청문회와 국정조사는 고사하고, 내일(6일)로 예정된 국정원-전문가 기술간담회도 무산될 예정이다. 이렇게 된 것은 두 가지 때문이다. 하나는 아무런 근거자료도 없이 국정원의 말을 무조건 믿고 이번 의혹은 아무런 근거없다고 결론내려버린 집권여당인 새누리당때문이고, 다른 하나는 자료제출을 요구해도 기밀이라며 거부하고 있는 국정원때문이다.
무엇을 근거로 이번 국정원의 해킹사찰 사건이 불법적 요소가 전혀 없는 것이고, 특히 우리 국민에 대해 해킹프로그램을 사용한 바 없다고 새누리당이 믿는지 되묻지 않을 수 없다. 국정원의 설명이라면 무조건 다 믿어야 한다고 생각하는 것이 아니라면 객관적인 검증을 거쳐야 하는 것 아닌가?
객관적이고 충분한 검증에 응하지 않고 있는 국정원의 태도는 더 나쁘다. 불법의 징후가 발견되었다면, 객관적인 자료를 통해 사실을 밝히고 의구심을 해소해야 한다. 정보기관 활동의 특성상 조사된 내용의 일반공개의 범위와 구체성은 사안에 따라 제한될 수 있을지라도, 국회나 독립적인 수사기관에 의한 객관적이고 충분한 검증과 조사 자체를 제한해서는 안 된다.
공안기구감시네트워크 소속 우리 5개 단체들은 국정원이 국민을 상대로 어떤 불법행위도 안했는지를 비롯해 이번 해킹사찰프로그램 사용과 관련한 여러 의혹을 제대로 규명해야 한다고 본다. 근거자료를 제시하지 않고 ‘우리 말을 믿으라’는 식으로 넘어가서는, 국가안보를 위해 존재한다는 국가정보기관에 대한 국민적 신뢰는 계속 침식당할 것이다. 이는 국정원의 발전을 위해서도 바람직하지 않다.
2. 한편 이번 사건은 국정원의 행동을 독립적이고 객관적인 입장에서 감독하고 조사할 수 있는 권한을 행사할 수 있는 곳이 없다는 것을 다시 드러냈다.
사이버심리전단 규모를 점점 확대시키고 정치 및 선거 불법개입 행위까지 하고 있는지도 국정원 바깥에서는 수년동안 아무도 몰랐다. 해킹프로그램을 구매하고 있었는지도 국정원 내부자말고는 아무도 몰랐다. 일반에게 공표될 내용은 아니라고 하더라도 국정원의 상황을 국정원말고는 아무도 모르는, 즉 국정원이 외부감독과 통제 사각지대에 있었기 때문에 빚어진 일들이다.
게다가 불법의 징후가 드러났음에도 객관적이고 독립적인 조사는 벽에 부딪혔고 지금도 그렇다. 대선개입 사건 때에도 국정원 직원의 체포를 국정원장에게 사전 통지하지 않았다고 검찰이 다시 풀어주어야했고, 국정원에 대한 압수수색도 국정원이 협조하지 않았기 때문에 제한적인 범위에 그쳤다.
국정원의 불법정치 및 18대 대선개입 사건이 드러났을 때 국정원에 대한 외부감독체계 강화를 이루어야 했다. 그 때 실패했기에 지금도 국정원이 입을 다물고 자료를 안 내놓겠다고 하면 속수무책일 수 밖에 없다. 이번 불법해킹사찰 의혹사건이 진상규명에만 머물지 않고 국정원에 대한 독립적이고 객관적인 외부감독체계 마련의 계기가 되어야 한다.
국정원이 해킹팀으로부터 사들인 스파이웨어(RCS)를 불특정 다수 국민의 스마트폰에 감염시키면 어떤 일이 생길까? 상상하기도 싫지만, 스파이웨어에 감염된 국민이 직접 대응할 수 있는 방법은 많지 않다. 왜? 국정원은 사실상 국내 백신 업체의 ‘갑’ 노릇을 한다. 이런 현실에서 국내 백신 업체들이 국정원이 이용하는 스파이웨어를 감지하는 전용 백신을 개발할 수 있을까? 새정치민주연합의 안철수 국회의원이 안랩을 포함한 10여 개 국내 보안업체에게 도움을 요청했으나 업체들이 이 요청에 적극 나서지 않는다는 말이 벌써부터 들리고 있다.
이에 시민이 자발적으로 참여하는 ‘국민 백신 프로젝트’가 발족했다. 그리고 어제(2015년 7월 30일) 국회 의원회관에서 발표회를 개최했다. 국민 백신 프로젝트를 주도한 남희섭 오픈넷 이사에게 국민 백신 프로젝트의 이모저모와 향후 계획을 물었다.
남희섭 오픈넷 이사 일문일답
– 이왕에 엠네스트 주도로 ‘디텍트’가 개발됐다. ‘국민 백신’과 디텍트의 차이점은.
디텍트는 PC용인데, 국민 백신은 안드로이드 모바일에 주안점을 두고 프로젝트를 진행하고 있다.
– 모바일 중심이라고 했는데, 특히 안드로이드가 주력인 이유는?
개발자의 증언에 의하면 안드로이드폰이 잘 감염된다고 한다. 아이폰은 애플이 직접 패치를 내놓으면 이용자가 바로 업데이트를 할 수 있으나 안드로이드폰은 구글이 패치를 내놓아도 제조사까지 전달되서 실제 이용자의 스마트폰에 적용되기까지 시간이 걸리기 때문에 보안에 취약성이 있다는 설명이었다. 더불어 우리나라 모바일 사용자의 압도적 다수가 안드로이드폰 이용자기이도 하다.
– 국민 백신은 의미 있는 프로젝트다. 하지만 지속 가능성을 담보할 수 있을지는 걱정이다. 해킹과 백신은 ‘창과 방패’, ‘톰과 제리’의 게임이라서 지속성을 담보하지 못하면 큰 의미가 없지 않나.
당연히 걱정하는 부분이다. 큰 백신 개발업체라면, 상시 인력이 그때그때 바로바로 업데이트할 수 있겠지만, 국민 백신 프로젝트는 참여 개발 인력이 충분하다고 볼 수는 없다.
– 어떻게 이런 난제를 극복할 생각인가.
국민 백신은 ‘오픈소스’로 개발하고 있다. 프로그램 코드를 공개하는 것이다. 현재 개발인력도 최선을 다하겠지만, 국민 백신 프로젝트의 취지에 공감하는 개발자들이 업데이트에 참여할 것으로 기대한다. 이런 참여가 임계점을 넘으면. 지속 가능성을 담보할 수 있으리라 생각한다.
– 기존 보안업체에 협조를 요청했나. 상호 사전 협의가 있었는지 궁금하다.
처음에 프로젝트를 구상할 때 기존 업체의 참여를 전혀 기대할 수 없는 상황이었다. 이제는 널리 알려진 사실이지만, 사실상 국정원이 보안 업체의 ‘갑’ 노릇을 하는 상황이다. 익명을 전제로 보안업체의 분위기를 전한 한 개발자는 이렇게까지 말했다.
“민감한 사안이다. 밥줄 잘린다. 전용 백신 개발 가능성은 전혀 없다.”
기존 보안업체가 전용 백신을 개발한다는 것은 전혀 기대할 수 없는 상황이라고 판단하고, 국민 백신 개발에 착수했다.
– 현재 확보한 개발 인력은 어느 정도인가.
현재 엔진을 만드는 사람 4명이다. 여기에 해외 ‘화이트해커’ 그룹도 참여하고 있다.
– 향후 개발 계획은?
원래는 발표회에서 베타 버전을 발표하고, 다음 주(2015년 8월 첫째 주) 정식 발표하려고 했다. 하지만 일정이 생각보다 좀 늦어지고 있다. 내부적으로 테스트한 뒤에 다음 주 베타 버전을 발표할 계획이다.
– 어떤 방식으로 배포할 계획인지.
우선 안드로이드 모바일 사용자에게는 구글 플레이 스토어에 국민 백신 앱을 업로딩하면 간단하다. PC용으로도 개발할 계획이다.
– PC용은 어떤 방식으로 배포되는가.
안드로이드용은 배포 플랫폼이 있어서 걱정이 없는데, PC용은 홈페이지에 올리면 해커들에게 공격 받을 가능성이 크다고 한다. 그래서 PC용 버전 배포방식을 고민하고 있다. P2P 방식으로 배포하는 것까지 포함해서 현재 논의 중이다.
– 끝으로 당부하고 싶은 말이 있다면.
자기 정보 인권을 스스로 지켜야 한다. 직접 스스로 자신의 권리를 지키는 행동을 해보는 체험이 중요하다. 하지만 해킹이나 감시, 감청 등의 정보 인권 침해에 평범한 개인이 할 수 있는 일은 별로 없다. IT 영역의 전문지식을 모든 국민이 가질 수는 없는 노릇이고, 그럴 필요도 없다.
하지만 선의의 전문가들이 참여하는 국민 백신과 같은 프로젝트에 참여하는 것으로도 충분히 스스로 자기 권리를 지키는 구체적인 ‘행동’에 참여하는 일이다. 이런 체험을 통해 스스로 권리를 자신이 지킨다는 걸 체감할 수 있다면 좋겠다.
참고로 사단법인 오픈넷, 진보네트워크센터, P2P재단코리아준비위원회가 현재 개발 중인 ‘오픈 백신’은 설치된 해킹 프로그램을 치료하는 프로그램은 아니다. 치료보다는 해킹 프로그램의 설치 여부를 진단하는 것이 목표다. (편집자)
시민단체 경실련 소비자정의센터, 진보네트워크센터와 새정치민주연합 장병완, 최원식 의원은 개인정보 비식별화 개념이 갖고 있는 문제점을 진단하는 토론회를 공동으로 개최하고자 합니다. 토론회에서는 관련 문제 진단 뿐만 아니라 빅데이터 산업 활성화를 추진하기 이전에 반드시 최우선적으로 고려해야 할 개인정보 보호에 있어 대안모색 등을 논의하고자 합니다.
우리는 국민적 염원을 담아 국회가 진상규명과 제도개선에 매진하여야 한다고 생각합니다. 이에 기자회견을 갖고, 국회가 국정원의 해킹프로그램 등을 통한 불법사찰 의혹 사건 진상규명을 위해 국정조사를 실시하고 특별검사를 임명하는 한편 국정원에 대한 감독통제제도를 마련할 것을 청원합니다.
우리 13개 시민·소비자단체들은 홈플러스와 테스코의 추악하고 이기적인 행태를 규탄하며, 다시 한 번 고객 개인정보 불법 유상판매에 대한 사죄와 보상 및 배상을 위한 대책을 마련 할 것을 강력하게 촉구한다. 나아가 테스코와 홈플러스는 매각을 추진하는 과정에서 협력업체와의 계약관계, 노동자의 심각한 고용불안, 소비자 권익 침해 등 다양한 문제에 대해 사회적 논란을 회피하지 말고 기업의 사회적 책임을 다해야 할 것이다.
이번 보고서는 지난 6월 24일부터 26일까지 3일 동안 진행된 2015 시티즌랩 여름 연구소(Citizen Lab Summer Institute)에 참여한 오픈넷의 협업 제안의 결과물이다. 오픈넷에서는 동시에 진행된 3개 세션 중 “조준된 공격의 위협 및 감시(Targeted Threats and Surveillance)” 세션에서 공동작업을 할 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대해 연구할 것을 제안한 바 있다.
지난 4월 16일부터 시행된 개정 전기통신사업법 제32조의7 및 전기통신사업법 시행령 제37조의8은 이통사가 청소년과 전기통신서비스 제공에 관한 계약을 체결하는 경우 유해정보에 대한 차단수단을 제공할 것을 강제하고 있다. 동 법령에 의하면 이통사는 계약체결시 단순히 차단수단에 대한 정보를 제공할 뿐만 아니라 강제로 설치를 해야 하며, 설치 후에는 차단수단이 삭제되지 않도록 지속적으로 모니터링을 해야 한다. 게다가 더 큰 문제는 부모의 거부권(opt-out)이 인정되지 않는다는 점이다. 오픈넷은 해당 법령의 청소년의 프라이버시와 부모의 교육권 침해 문제를 지속적으로 지적해왔다(http://opennet.or.kr/8853).
이번에 문제된 스마트보안관은 방통위가 개발 및 홍보예산을 지원해 한국무선인터넷산업연합회(MOIBA)에서 개발해 2012년부터 보급해오고 있었던 스마트폰용 애플리케이션이다. 무료일 뿐만 아니라 방통위가 권장하는 앱으로 차단수단 강제 설치가 시작된 이후 가장 널리 사용되고 있는 앱이다. MOIBA의 S-안심존 홈페이지에 의하면 스마트보안관을 “스마트폰 상에서의 음란, 폭력 등 불법·유해정보(앱, 인터넷사이트)를 차단하여 우리 자녀를 보호하고, 부모가 자녀의 올바른 스마트폰 이용을 지도하고 관리할 수 있는 서비스”라고 소개하고 있다.
하지만 시티즌랩 연구진에 의하면 스마트보안관은 “실제로는 아이들을 보호하는 것이 아니라 더 큰 위험에 노출시키고 있”으며, “프로그램의 토대부터 아이들의 안전을 고려하지 않았다는 것이 입증”되었다. 보안 감사에서 발견된 26건의 보안 취약점들을 보면 스마트보안관은 이용자 정보의 저장 및 전송시 제대로 암호화를 하지 않아 공격자가 청소년의 정보를 모니터링하거나, 서버와 프로그램으로 위장하여 청소년의 정보를 변조하는 것을 가능하게 한다고 하며, 계정의 등록과 관리가 적절한 확인절차나 암호 없이도 가능하여 이용자 계정이 쉽게 도용되거나 탈취되어 스마트보안관이 설치되어 있는 휴대폰의 다른 기능들을 원격으로 조작할 수 있다고 한다. 또 서버는 ‘무작위 대입 공격(brute force)’ 방식의 개인정보 수집 시도나 잘못된 요청을 추적하거나 거부하지 않고 있어 서비스와 이용자들을 심각한 위험에 노출시키고 있다고 한다. 시티즌랩은 이러한 문제 때문에 즉시 스마트보안관서비스를 중단할 것을 권고하였다. 또한 이러한 보안 취약점들은 개인정보보호법 및 정보통신망법상 요구되는 개인정보보호조치 위반일 뿐만 아니라, 스마트보안관의 약관과 개인정보보호정책에서 주장하는 보안 수준에도 미치지 못해 계약상의 의무의 위반인 것으로 판단된다.
물론 우리의 청소년들을 온라인에서 범람하는 유해매체물과 음란물로부터 보호해야 한다는 점에 대해서는 논란의 여지가 없다. 하지만 국가는 국민들의 가정의 영역을 존중해야 하며 부모의 역할을 대신하려고 해서는 안 된다. 특히 국가가 사회의 취약한 집단에게 특정의 보호조치를 강제하고자 할 때에는 그러한 보호조치가 진정으로 필요한 것인지 내지 안전한지에 대한 철저한 검증이 있어야 할 것이다. 하지만 스마트보안관은 “선한 의도가 어떻게 매우 잘못된 결과를 초래할 수 있는지 정확하게 보여”준다. 정부는 유해정보 차단에만 집중한 나머지 이러한 감시앱이 우리의 아이들을 얼마나 큰 다른 위험에 노출시키는지에 대해서는 전혀 고려하지 않았다.
지금이라도 방통위는 당장 스마트보안관 서비스를 중단하고, 스마트보안관뿐만 아니라 방통위가 권장하고 있는 다른 차단수단에 대한 철저한 보안 감사를 거쳐야 할 것이다.
뿐만 아니라 궁극적으로는 개인의 통신기기를 타인이 감시할 수 있는 소프트웨어를 설치하도록 국가가 법으로 강제하겠다는 발상 자체가 심각한 보안상의 위험을 발생시킨다는 사실을 겸허히 받아들이고, 과연 청소년들이 단지 성인물에 접근하는 것을 막기 위해 청소년들이 이와 같은 보안상의 위험 및 프라이버시 침해를 감수하도록 하고 학부모들의 교육권을 교란하는 것이 현명한 일인지를 판단해보아야 할 것이다. 특히 빠른 시일 내에 전 세계적으로 유래가 없는 감시앱 강제화법인 전기통신사업법 및 법 시행령의 관련 조항들을 폐기하거나 개정해야 할 것이다. 사단법인 오픈넷은 진보네트워크센터와 함께 관련 조항들에 대한 헌법소원을 준비 중이다.
Citizen Lab Summer Institutes(CLSI)는 캐나다 토론토대학교 산하 시티즌랩 주관으로 2013년부터 매년 여름 1차례 개최되고 있는 행사입니다. “인터넷 개방성과 권리 모니터링(Monitoring Internet Openness and Rights)”이라는 주제로 인터넷 및 IT 인권 관련 최신 이슈들에 대해 학계, 산업계, 시민사회 등 다양한 분야의 전문가들이 모여 2~3일 동안 논의하는 연구의 장입니다.
오픈넷에서는 처음으로 시티즌랩의 초청을 받아 CLSI 2015에 참여하게 되었습니다. 오픈넷과 시티즌랩의 인연은 올해 3월에 있었던 RightsCon 2015으로 거슬러 올라갑니다. 당시 시티즌랩에서 진행한 아시아 메신저 앱 세션에서 김가연 변호사가 패널로 초대를 받아 카카오톡 관련 발표를 한 바 있습니다. 그리고 앞으로 오픈넷과 시티즌랩이 함께 할 수 있는 프로젝트들에 대해 논의를 했었는데, 시티즌랩에서 예전부터 한국에 관심을 갖고 있어서인지 매우 적극적으로 협업을 제안해왔습니다.
CLSI 2015 참가신청을 하기 위해서는 연구제안서를 제출했어야 하는데요, 오픈넷은 연구 프로젝트로 스마트보안관의 보안 취약점 분석 및 이러한 감시앱의 법제화의 타당성에 대한 연구를 제안했습니다(첨부 프로포절 참조).
첫 날은 참가자 전원이 참여하는 형식으로 진행되었습니다. 캐나다와 미국뿐만 아니라 한국, 영국, 홍콩, 대만, 이란, 브라질, 콜롬비아 등 전 세계에서 모인 학자들, 해커들, 보안전문가들, 활동가들 등 약 90여 명의 참가자들이 모여 함께 점심식사를 하며 네트워킹을 하는 시간을 가졌습니다. 1시 30분 부터 시작된 세미나에서는 먼저 시티즌랩 소장이신 Ron Deibert 교수님께서 환영사와 CLSI의 추진 배경, 목적, 그동안의 성과에 대해 말씀해주셨습니다. CLSI가 크게 세 주제로 나뉘어 진행되기 때문에, 이후 3개 세션이 순차대로 진행되었고, 세션별로 각 그룹의 전년도 성과 및 계획의 공유가 이루어졌습니다.
<CLSI 첫 날 1세션 패널들의 모습>
먼저 ‘검열 및 네트워크 교란 측정(Measuring Censorship and Network Intererence)’ 세션에서는 주로 중국의 인터넷 키워드 검열과 만리방화벽(Great Firewall), 그리고 Great Cannon 연구 프로젝트에 대한 발제가 이루어졌습니다. 기술적인 내용이 많아 이해가 어려웠지만 매우 흥미로웠습니다. 다음 세션인 ‘목표 위협 분석 및 방어전략(Analyzing and Defending Targeted Threats)’에서는 활동가들을 겨냥한 사이버 공격을 어떻게 예방하고 방어할 것인지에 대해 논의했습니다. 오픈넷에서 일하면서도 막상 사이버 위협에 대한 고민은 해본 적이 없는데 너무 안일했었다는 생각이 들었습니다. 마지막으로 ‘공공 및 기업 투명성(Public and Corporate Transparency)’ 세션에서는 한국인터넷투명성보고 프로젝트를 진행하고 있는 손지원 변호사가 패널로 참여했습니다. 이 세션의 좌장은 캐나다 프라이버시위원회(Privacy Commissioner of Canada)의 위원장인 Chris Prince씨였는데, 캐나다 정부에서 시티즌랩을 얼마나 중요하게 생각하는지 알 수 있었고 정부의 전폭적인 지원을 받는 시티즌랩이 부러웠습니다.
둘째 날부터 CLSI가 본격적으로 시작되었는데, 세 개의 그룹이 동시에 진행되었기 때문에 참가자들은 각자 관심있는 그룹으로 흩어졌으며, 각 그룹은 다시 세부 워킹그룹으로 나뉘었습니다. 김가연 변호사는 Targeted Threats & Surveillance 그룹에 참여했습니다. 세션 초반에 그룹 참가자들과 함께 하고 싶은 프로젝트를 제안하는 시간이 주어졌습니다. 오픈넷에서 참가 신청시 제안했던 스마트보안관 프로젝트의 연구 필요성에 대해 프레젠테이션을 하자 다들 높은 관심을 보였고(당시 상영한 BBC 뉴스 영상: http://www.bbc.com/news/technology-33130278 ), 스파이웨어를 법으로 강제한 나라는 한국이 처음이라면서 놀라워했습니다. 세계 최고의 보안전문가들과 해커들이 너도나도 돕겠다고 자원을 해서 그룹이 결성되었는데, 국적을 초월해 한국의 아이들이 위험에 처한 것을 두고볼 수 없다며 걱정해주는 모습에 매우 감동받았습니다.
그 자리에는 CLSI의 스폰서인 Open Technology Fund (OTF)라는 미국 NGO 소속 Adam Lynn씨도 있었습니다. Adam씨가 이미 OTF에서 Cure53 이란 독일 회사에 스마트보안관의 보안 감사를 의뢰해 진행중이라는 점을 밝히면서 공동작업을 제안했습니다. 결국 Targeted Threats & Surveillance 그룹은 스마트보안관팀과 Targeted Threats팀 둘로 나뉘었습니다.
연구원들에게 스마트보안관의 홈페이지와 구글플레이 URL을 찾아서 알려주자 바로 분석이 시작되었습니다. 반나절의 분석만으로도 스마트보안관의 보안이 매우 취약하다는 것이 밝혀졌고, 팀원들 모두 정부가 이런 소프트웨어를 권장하고 있다는 사실에 경악을 금치 못했습니다. 다음 날이자 CLSI 마지막 날, Wrap-up Session에서는 각 그룹별로 성과를 공유했는데, Targeted Threats & Surveillance 그룹은 스마트보안관 분석 결과를 보고하면서 연구를 계속할 것을 요청했고 정식으로 스마트보안관 분석을 위한 시티즌랩 연구팀이 구성되게 되었습니다.
<CLSI 마지막 날 Wrap-up Session>
그리고 이때 구성된 팀은 9월 20일 월요일, 보고서 “우리의 아이들은 안전한가? 청소년들을 디지털 위험에 노출시키는 한국의 스마트보안관 앱(Are the Kids Alright? Digital Risks to Minors from South Korea’s Smart Sheriff Application)”을 발표하게 됩니다. 오픈넷의 입장에서는 CLSI 참여 전까지 전혀 상상할 수 없었던 수확이었습니다. 그동안 오픈넷의 관련 활동은 법정책적인 논의에 한정될 수밖에 없었는데, 동 보고서의 발표로 기술적인 부분에 대해서도 공적인 논의가 가능해진 것입니다.
오픈넷은 지난 7월 30일 개최한 해킹팀 포럼에서도 시티즌랩에 조언을 구하고 시티즌랩 소속 빌 마크작 연구원을 영상으로 연결한 바 있으며(http://opennet.or.kr/9547), 앞으로도 다양한 인터넷 자유와 디지털 권리 이슈들에 대해 시티즌랩과 지속적으로 협업을 할 예정입니다.
시민들의 의견
댓글 달기